Jump to content

Hairpin NAT за WEB Server


accidental
 Share

Recommended Posts

Здравейте, нужна ми е помощ за следния сценарий:

Устройството е MikroTik  RB2011UiAS-2HnD със скоро ъпдейтната версия v7.1.1. Преди ъпдейта към новата версия всички NAT-ове си работеха, като забележете, че пакетите за MPLS, Routing и IPv6 бяха деактивирани и подозирам, че от там ми идва проблема. Може би преди ъпдейта при деактивирането на Routing пакета, Hairpin NAT-а си работеше без всъщност да създавам правило за него, а просто чрез обикновен NAT.

Имам PC във вътрешната мрежа с IP 192.168.1.2 на което има пуснат web server, който "слуша" на портов диапазон 8000-8077. Рутера е с IP 192.168.1.1 и да предположим, че външното IP е 10.100.200.1

Целта е да се достъпват различните сайтове (в разработка), както външно, така и през вътрешната мрежа чрез въвеждане на външното IP (статично е). Примерно: клиента при въвеждане на https://10.100.200.1:8000 да достъпва сайта, така и аз през вътрешната мрежа да го достъпвам на https://10.100.200.1:8000.

Конфигурацията е със следните правила (при тези настройки преди ъпдейта NAT-а си работеше, но след ъпдейта не):

/ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1

/ip firewall nat add action=dst-nat chain=dstnat comment="WEB Server" dst-address=10.100.200.1 dst-port=8000-8077 protocol=tcp to-addresses=192.168.1.2 to-ports=8000-8077

Към момента с тези настройки през външно IP сайтовете се достъпват, но не и през вътрешното.

Освен външния интерфейс eth1, който е с PPPoE, другите са в bridge и самият bridge е с DHCP Server. Също така имам правила във Firewall, но дори при деактивирането им няма ефект за Hairpin NАТ-a.

Какво съм опитал и без успех:

  • Описаното в официалния help на линка: https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT
  • Маркиране на конекциите с prerouting в Mangle и добавяне на address list за външнното и вътрешните IP-та.
  • Премахване на всички правила във Firewall-а
  • Всички комбинации между изброените по-горе

Благодаря Ви за отделеното време!

Link to comment
Share on other sites

/ip fi n add src-address=192.168.1.0/24 dst-address=10.100.200.1 protocol=tcp port=8000-8077 action=src-nat to-addresses=192.168.1.1 place-before=0

 

Link to comment
Share on other sites

@JohnTRIVOLTA

Здравей, благодаря за правилото, но и с него не сработва.

Опитах описаните неща и от тук, но без успех. Вероятно ще нулирам настройките и ще пренастройвам всичко наново.

Link to comment
Share on other sites

  • Administrator

Забий в днс записите, днс името отвън да отговаря на ИП вътре.

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • Administrator

Не става с един ред, аз съм го писал и гарантирам работи:

https://itservice-bg.net/mikrotik-hairpin-nat/

Не чети коментара по под поста, просто размени ип адреса, интерфейса и портовете ...

  • Like 1
Link to comment
Share on other sites

Благодаря, @111111 и @samyil, но реших да го пренастроя и нещата се получиха с правилото от тук, а в моят случай именно:

/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.1.2 out-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 place-before=0

Първоначалната настройка я правих с Quick Set и след това си коригирах, това което е според моите нужди. Единствено нямам идея защо при правенето на DHCP Server ми беше създало DHCP->Network с Address: 0.0.0.0/0 и Gateway: 0.0.0.0

Следователно ги коригирах с 192.168.1.0/24 и 192.168.1.1

Също така си създаде автоматично във Firewall, Mangle и Raw правилата за fastattack. Освен тези неща, които споменах, друго различно от предходната ми конфигурация не успях да открия.

Edited by accidental
Link to comment
Share on other sites

Ммм да , прав e @samyil частично, като просто правилото трябва да е с локалният адрес на сървъра и с уговорката, че правилото, което е за dstnat е глобално за вход !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.